еф 
SEK REIT 


CONSULTORES ЕМҸ SEGURIDAD INFORMATICA 
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РКОСКАМА sel. ¿RENT 


—h 


. Seguridad física 

Seguridad en W2K. Infraestructura de seguridad 
Autenticación en W2K 

Configuración segura de W2K. Seguridad de recursos 
Registro de eventos de seguridad en W2K 

Seguridad de servicios de red en \\/2К. 

Seguridad en UNIX 

Control de acceso y contraseñas. Permisos en directorios 
Administración de usuarios 

10. Aseguramiento de servidores de red en UNIX 

11. Análisis de bitácoras 


о PP м т œ с гә 
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++ 
SEK REIT 


CONSULTORES ЕМҸ SEGURIDAD INFORMATICA 
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Seguridad Física sele. ¿Rem 


La selección e implantación de controles físicos 
como resultado del análisis de riesgos: 


e Controles de acceso físico 
— Perímetro de seguridad física 
— Acceso sólo a personal autorizado a las áreas 
protegidas ... 


¿Qué pasa si los controles de fallan y un atacante en 
potencia tiene acceso directamente a los equipos? 
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Escenario сес. J REIT 


CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Amenaza 
e Competidor 


Actos Amenazantes 


e Un intruso contratado por un competidor logra burlar los 
controles de acceso a las áreas protegidas. Logra llegar 
al centro de datos, obteniendo acceso físico a los 
servidores que soportan el sistema crítico. 
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Escenario (cont) sele. IRET 


Actos Amenazantes 


e Destrucción o daño físico 
— Apagado de equipos (D) 
— Desconexión de cables eléctricos y de 
comunicaciones (D) 
— Derribamiento de equipos (D, 1) 
— Robo de medios de almacenamiento (C) 
— Robo total (C) 
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Escenario (cont) sele. IRET 


Actos Amenazantes 


e Acceso a sistema operativo y aplicaciones 
— Instalación de puertas traseras ( С, I) 
— Activación de módems (С, 1) 
— Robo de bases de datos ( С) 
— Alteración de bases de datos ( |) 
— Cambio de contraseñas en sistema operativo (C, І, D) 
— Cambio de contraseñas en aplicaciones ( С, 1, D ) 
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Security-in-depth sele. ¿Rem 


Seguridad en profundidad 


e El establecimiento de controles/salvaguardas de 
seguridad en diferentes capas, de modo que el 
compromiso de una de ellas no deje al descubierto 
los recursos que requieren protección 


e En el caso del compromiso de los controles de 
acceso físico a las áreas protegidas 
— Establecer una capa de adicional limitando lo que 
puede hacerse en los equipos 
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Subsistema de Seguridad ае W2K SEK REIT 









Winlogon 


Active 
Directory 






Msv1_0.dll 
Kerberos.dll 





User Mode 
Kernel Mode 









stem service dispatcher 


еу 
әоиәләјәл Аушпдәс 
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Acceso físico: Compromiso W2K sele ¿REM 


Obtención de acceso de Administrator 


• Iniciar el servidor desde un medio removible 
e Montar partición NTFS de W2K (read/write) 
e Copiar la SAM (Security Account Manager) 


e Modificar contraseña de Administrator utilizando 
herramientas existentes 


e Reiniciar el sistema y hacer login como Administrator 
e Restablecer la SAM original 
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Acceso físico: Compromiso W2K sele РЕТ 


Herramientas útiles 


— NTFSDOS PRO (www.winternals.com) 


e Montar una partición NTFS desde DOS соп 
capacidades de lectura y escritura 


— System Recovery Console (W2K CDs) 


• Acceso a consola de recuperación limitada con 
capacidades de lectura y escritura para particiones 
NTFS. 
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Acceso físico: Compromiso W2K SEKT РЕТ 


Herramientas útiles 


— NTPASSWD (http://nome.eunet.no/-pnordahl/ntpasswd/ ) 
e Utilidad interactiva de modificación de la SAM 
basada en Linux con capacidad de montar 
particiones NTFS en modo lectura y escritura 


— Otras distribuciones de Linux con arranque desde floppy 
о CD con capacidad de montar particiones NTFS en 
modo de lectura escritura. 
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Compromiso de Active Directory sele. REIT 


Obtención de acceso de Administrator en AD 


e Modificar contraseña de Administrator utilizando el 
método demostrado 

e Reiniciar el sistema en modo DSR (Directory 
Services Recovery Mode) (F8). 

e Sustituir en el registro el protector de pantalla 
(logon.scr) por el command prompt (cmd.exe) 

e Reiniciar el equipo normalmente y esperar a que se 
ejecute el command prompt. 

e Ejecutar la aplicación Administer Users and 
Computers y modificar la contraseña del 
Administrator 
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Vulnerabilidades сєк; TRET 


¿ Qué vulnerabilidades permitieron el éxito de los 
compromisos demostrados ? 


e Análisis de riesgos incompleto: La amenaza y acto 
amenazante no fueron visualizados. 


e Capacitación deficiente: Carencia de personal 
calificado para la administración de servidores 


e Procedimientos no ejecutados: Carencia de 
aseguramiento físico de equipos 
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El enfoque formal SEKT REIT 


Con base en el ciclo de vida de la Arquitectura de 
Seguridad Informática: Plan-Do-Check-Act 


e Plan 
— Seleccionar controles 
e Do 
— Implantar los controles 
— Desarrollar políticas y procedimientos específicos para 
el aseguramiento de servidores 
e Check 
— Verificar que los controles operan adecuadamente 
e Act 


— Determinar mejoras a la Arquitectura de Seguridad 
Informática 
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Plan: Selección de controles SEK гит 
¿Qué controles serían necesarios para mitigar el 
riesgo? 


• En cuanto a destrucción o daño físico: 


e En cuanto al acceso a sistemas operativos у 
aplicaciones: 
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Do: Políticas y procedimientos SEKT REIT 


Política de Seguridad de Servidores 

e 4 Política 

e 4.1 Instalación de Servidores 

Lila 

e 2. Todos los servidores propiedad o bajo la responsabilidad de <Compañía>, 


que estén en modo de producción o pruebas, deberán ser fisicamente ubicados 
en el área protegida del Centro de Datos de la organización. 


e 3. Sólo se podrán utilizar servidores que cumplan las características definidas 
en la Política de Adquisición de Hardware 


e 4. Todo servidor instalado en el Centro de Datos de la organización será 
asegurado fisicamente como lo señala el Procedimiento de Aseguramiento 
Fisico de Servidores, antes de entrar en operación. 


e 5f] 
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Do: Políticas y procedimientos SEK RENT 


CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Procedimiento de Aseguramiento Físico de Servidores 


3.0 Procedimiento 


dl 


А 


Instale físicamente el servidor еп un rack debidamente empotrado, соп paneles 
frontales, laterales y traseros protegidos con cerraduras. 


. Fije el servidor al rack de modo que no pueda ser derribado accidental o 


deliberadamente. 


En el BIOS, modifique la secuencia de arranque del servidor, de modo que el 
primer dispositivo de arranque sea el disco duro. 


. Modifique la configuración del BIOS para evitar que se muestre la secuencia de 


teclas para acceder a él durante el proceso de arranque. 


Retire tarjetas de módem, tarjetas de red o cualquier otro dispositivo de 
comunicación que no sera utilizado por el servidor. 


Retire o deshabilite fisicamente unidades de floppy, CDROM, o cualquier otra 
unidad de almacenamiento externa. 


Г...) 
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Seguridad Física de Servidores sele REIT 


Recursos 
e СЕРТ, Securing Network Servers 


www.cert.org/security-improvement/modules/m10.html 


e Microsoft, Basic Physical Security 
www.microsoft.com/technet/columns/ security/5bmin/5amin-203.asp 


e Physical Security 


www.activsupport.com/network/vpn_security/physical_security.html 
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++ 
SEK REIT 


CONSULTORES ЕМҸ SEGURIDAD INFORMATICA 
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CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Arquitectura de Windows 2000 SEK REIT 


Grupo de Trabajo 


e Un grupo de lógico de computadoras que comparten 
recursos. Cada una de ellas ve a la otra como un 
igual 


e No existe un mecanismo de control de seguridad 
para la red 


e Cada computadora tiene su base de datos local para 
controlar el acceso a los recursos 


n máquinas = n bases de datos de seguridad locales 
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Arquitectura de Windows 2000 sele РЕТ 


Dominio 
e Un grupo de lógico de computadoras que comparten 
un servicio de directorio con información sobre: 
— Cuentas de usuario, grupos, computadoras... 
— Control de acceso 
— Recursos compartidos 
— Políticas de seguridad 


e Windows 2000 
— Active Directory es el servicio de directorio compartido 
— Remplaza el esquema de dominios de NT 4.0 


— No existen PDCs о BDCSs, sólo Domain Controllers 
(Dcs) 
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Arquitectura de Windows 2000 sele РЕТ 


Active Directory (AD) 
e Estrechamente ligado al Sistema de Nombres de 
Dominio (DNS) 
— AD usa DNS para guardar información sobre los DCs 
en la red (registros SRV) 
— Resolución de nombres en la localización de recursos 


— Establecer la jerarquía de nombres de AD, en la 
creación de árboles y bosques 


e Componentes de AD 
— Sitios 
— Dominios 
— Unidades Organizativas (UOs) 
— Arboles 
— Bosques 
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Dominios y UOs SEN тет 


Dominios y OU permiten representar la estructura lógica de 
la organización 


e Dominio. Define un entorno limitado en el que pueden 
establecerse controles de seguridad. Todos los objetos 
que pertenecen al dominio comparten la misma política de 
seguridad. 


e ЏО. Un contenedor lógico que permite representar de 
mejor manera la estructura lógica de la organización. 
Contiene los objetos terminales de la jerarquía (usuarios, 
computadoras, directorios compartidos), pero puede 
contener otras UOs, grupos de usuarios, etc. 
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Dominios y UOs SEK ZEIT 








Unidad Organizacional 


е є 


Grupo Usuario 







Servidor 


Es 


Unidad Organizacional Unidad Organizacional 


е 
a e 

Unidad Usuario Grupo 
Organizacional 










Cola de 
Impresión 
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Sitios SEK REIT 


CONSULTORES ЕМ SEGURIDAD INFORMATICA 





e Un grupo de computadoras en una o varios subredes “bien 
conectadas”. 


e “Bien conectadas” significa que las subredes comparten una red 
de bajo costo y alta velocidad, lo cual normalmente se refiere a 
subredes ubicadas en una misma ubicación física, conectadas a 
través de LANS. 


e Los sitios representan una visión geográfica de la organización. 


e No existe relación entre sitios y dominios. Es posible tener 
múltiples dominios en un sitio, o tener múltiples sitios para un 
dominio. 
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Sitios: Propósito SEK REIT 


CONSULTORES EN SEGURIDAD INFORMATICA 





e Active Directory utiliza Sitios en los procesos de autenticación y 
replicación, reduciendo tiempos y tráfico WAN 


• Autenticación. Cuando un usuario inicia una sesión en la red 
desde una estación de trabajo, el sistema autentica al usuario 
con el controlador de dominio localizado en el mismo sitio, 
cuando es posible. 


e Replicación. Las actividades de replicación de los controles de 
dominio que deben ir a sitios remotos deberán cubrir condiciones 
especiales, por la necesidad de usar conexiones WAN. 
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Arboles сєк; EMT 


Arbol 
Un conjunto jerárquico de dominios que comparten un 
namespace contiguo, en el cual cada nombre en el 
namespace desciende directamente de un nombre raíz. 


e Apropiado para organizaciones centralizadas que 
comparten un nombre único 
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CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Bosques SEK f REIT 


Bosque 


Un conjunto de árboles de dominio completamente 
independientes. 


e Apropiado para una organización con múltiples líneas de 
negocios con nombres independientes. 


e No existe un grupo central de ТІ que administre la 
organización. Cada una de las divisiones tiene una 
infraestructura independiente 
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Arboles y Bosques SEK ZEIT 


Domain 


Domain 





Forest 
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Relaciones de Confianza SEK Ет 


e Relaciones de confianza transitivas de dos vías. 


e Relación transitiva: Si un dominio A confía en un dominio 
B, y el dominio B confía en un dominio C, entonces el 
dominio A también confía en el dominio C. 


— Esto permite que los usuarios o computadoras puedan 
autenticarse en cualquier dominio del árbol o del 
bosque 

— Las relaciones de confianza se crean 
automáticamente cuando se añade un nuevo dominio 
al árbol. 

— Protocolo de autenticación Kerberos V5 
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Relaciones de Confianza SEK REIT 





forest root domain A————>— = tree2 
tree 1 LI EIA 
tree-root 
trust 





domain.com 





different.com 





parent — child 
trust 





sub.domain.com 
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Grupos en Active Directory sele ¿REI 


e En AD existen 2 tipos de grupos: 


e Grupos de Distribución 


— Utilizados exclusivamente para aplicaciones de 
correo electrónico (Exchange), no proveen 
características de seguridad 


e Grupos de Seguridad 


— Utilizados para control de acceso. Estos grupos 
son listados en los DACLs que definen los 
permisos sobre los objetos 
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Ambito de grupos de seguridad sele. REIT 


El ámbito (scope) define como son asignados los permisos a 
los miembros del grupo. 
— Global 


e Pueden asignarse permisos a recursos localizados en 
cualquier dominio 


• Los miembros sólo pueden provenir del dominioen que se 
creó el grupo 
e Sus miembros: Otros grupos globales, cuentas individuales 


— Domain Local 


e Pueden asignarse permisos sólo a recursos que 
pertenezcan al dominio en que se creó el grupo 

e Los miembros del grupo pueden provenir de cualquier 
dominio 

e Sus miembros: otros domain local groups en el mismo 
dominio, с Ae y universales de cualquier 


һе: Hale 5 de cualquiel domini rana, 






Diplomado en едиб ad “nto 


Ambito de grupos de seguridad sele. REIT 


e El ámbito (scope) define como son asignados los permisos а 
los miembros del grupo. 


— Universal 


Pueden asignarse permisos a recursos localizados en 
cualquier dominio 


Los miembros pueden provenir de cualquier dominio 
Sólo opera en modo nativo 

Apropiados para consolidar grupos distribuidos en 
múltiples dominios 

Sus miembros: otros grupos universales, grupos 
globales, cuentas individuales 
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Anidamiento de grupos SEN тет 


. Estrategia de anidamiento (Microsoft) 
. Ubicar a los usuarios del dominio en Grupos Globales 


. Anidar Grupos Globales como sea necesario, para permitir 
flexibilidad en caso de cambios en la organización o en el 
diseño de la red 


. Anidar Grupos Globales en Grupos Universales para consolidar 
grupos distribuidos en múltiples dominios 


. Anidar Grupos Globales y Universales en Domain Local Groups 
en la ubicación en que serán administrados 


. Asignar permisos de acceso а los recursos a los Domain Local 
Groups 
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Autenticación еп W2K sel TRET 


e Existen sólo dos protocolos de autenticación en dominios de 
Windows 2000 


e Windows NT Lan Manager v2 (NTLM v2) 
— Protocolo de autenticación oficial de Windows NT 4.0. 


— Compatibilidad con sistemas NT 4.0 y clientes Windows 
9x 


— Basado en Reto-Respuesta, usando tres tipos de mensaje 


• Kerberos versión 5 


— Protocolo de autenticación por omisión en equipos con 
Windows 2000 y Windows XP Professional 
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Kerberos 5 (Windows 2000) sele. ¿RENT 


e Componentes 
— Base de datos de cuentas: AD 
— Kerberos Policy 
— Kerberos Security Support Provider (SSP) 
— Caché de credenciales 
– KDC 
e Authentication Service (AS) 
e Ticket Granting Service (TGS) 
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Logon Interactivo sele IRET 


e Un usuario Alice, se firma en un dominio Domain, desde una 
estación de trabajo Wkst. 


1. A través de Winlogon Alice inserta sus credenciales 
(usuario, contraseña y dominio) 


2. Winlogon entrega la información a la Autoridad de Seguridad 
Local (LSA) para validarla 


3. A partir de la contraseña de Alicia, la LSA calcula su long- 
term key (К) Utilizando una función de hash. 
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Logon Interactivo (cont.) SEK РЕТ 


4. LSA solicita un TGT para Alice al KDC a través de Kerberos 
55Р 


Alice, Domain, К, {Айсе, Timestamp} 
КЕВ_А$ REQ 





КЕВ_А$ ВЕР 
c}, TGT 


К Alice {S 


Alice -KD 


TOTS Kepes Datos de Autorización para Alice } 


Alice -KDC ? 
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Logon Interactivo (cont.) SEK РЕТ 


5. LSA solicita un ticket de sesión para la computadora local 


TGT= K inc 5 Datos de Autorización para Alice; 


Alice -KDC ? 


Alice, Wkst, Domain, 5. с tAlice, Timestamp}, ТСТ 





KRB_TGS_REQ 


KRB_TGS REP 


S +, Ticket 


Alice-KDC O ios -Wkst 


Ticket= К wese 1 5, wep Datos de Autorización para Alice; 
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Logon Interactivo (cont.) sele. ¿REI 


6. LSA recibe el ticket, lo descifra y extrae los Datos de 
Autorización para Alice 


7. LSA construye un token de acceso, conteniendo 
— SID de Alice 
— SID de los grupos de seguridad a que pertenece Alice 
— Derechos de usuario de Alice 


8. LSA devuelve el token de acceso a Winlogon, junto con un 
identificador de sesión y la confirmación de que el proceso 
de firma fue exitoso. 


9. Winlogon crea un contexto de seguridad para Alice 
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Uso de tarjetas inteligentes SEK ZEIT 


e No se utiliza una clave simétrica compartida 


e En su lugar, se utiliza un par de claves almacenado еп la 
tarjeta inteligente, como un certificado X.509 v3 


Alice, Domain, Certificado de Alice 
KRB AS REQ 





KRB_AS REP 
PublicK anice 19де крс)» TOT 


TOTS Kepes Datos de Autorización para Alice } 


Alice -KDC ? 
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Logon Remoto SEK ZEIT 





e Alice intenta abrir un archivo en un folder compartido remoto 


Ticket= К gorice Sace Servico» Datos de Autorización para Alice; 


fAlice, Timestamp}, Ticket 
KRB_AP_REQ 





S 





Alice-Service 





KRB_AP REP 


Alice-Service { Гітеѕќатр } 
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Seguridad de Active Directory SEN гет 


e Componentes de seguridad de Active Directory 


— Security Principals: Usuario, Grupo de Seguridad, 
Servicio y Computadora. 


— Security Identifiers: Identificadores únicos, nunca 
reutilizados, de los Security Principals. 


S-R-XY-Y-Y-Y-RID 


— Security Descriptors: Información de seguridad 
asociada con un objeto (Discretionary ACL y System 
ACL) 
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Control de acceso a objetos SEN гет 


Diplomado en Seg 


La seguridad de AD está basada en listas de control de 
acceso (ACLs), que protegen a los objetos 


Cada objeto tiene asociado un security descriptor 


Cada security descriptor tiene asociado una DACL y una 
SACL 


DACL 
Un conjunto de registros de control de acceso (ACE) 


Un ACE especifica que accesos sobre un objeto son 
permitidos para un security principal. 


Un ACE contiene un SID y un conjunto de permisos 
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Control de acceso a objetos SEN гет 


e SACL 
• Un conjunto de registros de control de acceso (ACE) 


e Un ACE controla como el subsistema de seguridad audita 
intentos de acceso a los objetos 


e Un ACE contiene un SID y un conjunto de permisos, 
indicando que accesos serán auditados 
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CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Herencia SEK REIT 


• A través de la herencia, los ACEs de un objeto padre 


(un contenedor) pueden ser propagados a todos sus 
hijos. 


e El proceso de herencia ocurre cuando se crea un 
nuevo objeto hijo, o cuando se modifican la DACL o 
SACL del padre. 


• El proceso de herencia puede bloquearse 


Diplomado en Seguridad Informática | Seguridad en Servidores | © 2003 SekurelT, S.A. de C.V. 09.2003 | Página 1 


Sistemas de Archivos en W2K sel EMT 


e NTFS 
— Los archivos y directorios son objetos asegurables 


— Permite cifrado de archivos individuales o directorios 
completos (EFS, Encryption File System) 


— Permite manejo de cuotas 
Permite compresión de archivos y directorios 


Es posible establecer auditoría de accesos a los archivos 
y directorios 
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Permisos NTFS SEK REIT 


Special Pemisions__| РЫ Qnid Му | Read Екесе | List Folder Conterts| Read| Wite | 
|lraeseFdds/Beatele| X | X | х | Xx | | 
| lisFddr/RedDda | X | XX | X _ | хх 
МАБ | X | X | X |  X  |X! ___ 
 RedbieredAtibtes | X | X | X | Xx  |X| __ 
_ биене/\Мена X | X | | _|X 
|Gesterdoas/Apeita| X | X | |  _____| _|X 


__ WiteAtittes | X | X | | | |X 
 WiteberedAttibues | X | X | | d |X 
 [ieeSibtidssadiles | X | _ | _______ ||| o 

AAA 
Feeds | X | X | X  _ ххх 
ызы» E a 
| TéeOwesio | X | o | ___ | 
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Permisos NTFS сєк; EMT 


Qué ocurre con los permisos cuando un archivo es movido a 
otra carpeta? 


— Si el archivo es movido a otra carpeta dentro de la misma 
partición NTFS, conservará los permisos. 


— Si el archivo es movido a otra partición NTFS, heredará 
los permisos de la carpeta destino. 


— Si el archivo es movido a cualquier otra ubicación, 
heredará los permisos del folder o partición destino. 
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Carpetas compartidas sele ¿REM 


— En un dominio, sólo Administradores y Power Users 
pueden establecer carpetas compartidas 


— Tres permisos posibles 
• Full Control 
Change 
• Read 


— Los permisos efectivos de un usuario consisten de sus 
permisos de carpeta compartida más restrictivos, 
intersectados con sus permisos NTFS menos restrictivos. 
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Encryption File System (EFS) sele. REIT 


Un par de llaves asimétricas por usuario 


Una llave simétrica de cifrado por archivo (File Encryption 
Key, FEK) 


Cifrado DES (3DES opcional) 


— Procedimiento para cifrar un archivo 
• EFS genera Іа FEK 
• EFS cifra el archivo con la FEK 


• EFS cifra la FEK соп la llave pública del usuario у 
guarda el resultado junto con el archivo cifrado 
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Agentes de Recuperación de Datos SEK ЕТ 








Recovery Agent 


Recovery Agent 


User 
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Distributed File System (DFS) sele ¿REI 


— Una estructura de carpetas virtual, para que los usuarios 
perciban una estructura contigua única, aún cuando en 
realidad se trate carpetas alojadas en diferentes 
servidores a lo largo de la organización. 


e Facilitar la búsqueda de Carpetas Compartidas еп un 
ambiente de red 
e Tolerancia a fallas a través de replicación 


e Balanceo de cargas 
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Distributed File System (cont) sele REIT 


— Componentes del DFS 


• DFS Root 
— La carpeta compartida que sirve como raíz a un 
árbol DFS 
• Host Server 
— El servidor que almacena la raíz DFS 
e DFS Links 
— Carpetas compartidas que aparecen como 
subcarpetas de la Raíz DFS 
e Réplicas 
— Carpetas compartidas idénticas a un DFS link 
— Hasta 32 réplicas por DFS link 
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Registro de Eventos de Seguridad sele. REIT 


— Categorías de Auditoría 


e Account Logon Events 


— Un DC recibe solicitudes de inicio de sesión en la 
red 


• Account Management 


— Una cuenta de usuario o grupo es creada o 
modificada 


• Directory Service Access 
— Se accede a un objeto de AD 
e Logon Events 


— Un usuario intenta iniciar o cerrar la sesión en una 
estación de trabajo interactivamente 


Diplomado en Seguridad Informática | Seguridad en Servidores | © 2003 SekurelT, S.A. de C.V. 09.2003 | Página 1 


Registro de Eventos de Seguridad sele. REIT 


e Object Access 
— Un usuario intenta acceder a un archivo, carpeta, 
impresora o llave del registro. 
e Policy Change 
— Se realiza un cambio en las directivas de 
asignación de derechos de usuario, directivas de 
auditoría o directivas de contraseñas 
e Privilege Use 
— Un usuario intenta ejercitar un derecho tal como, 
apagar el sistema, realizar respaldo, tomar 
posesión de objetos, etc. 
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Registro de Eventos de Seguridad sele IRET 


e Process Tracking 


— Creación y eliminación de procesos, activación de 
programas. 


e System Events 


— Se realiza un cambio en las directivas de 
asignación de derechos de usuario, directivas de 
auditoría o directivas de contraseñas 


Diplomado en Seguridad Informática | Seguridad en Servidores | © 2003 SekurelT, S.A. de C.V. 09.2003 | Página 1 


Políticas de Grupo sele ¿REM 


e Un mecanismo usado en Active Directory para controlar el 
entorno de trabajo de usuarios y computadoras en un 
dominio de Windows 2000 

e Son aplicadas a sites, dominios o UOs afectando a los 
objetos del contenedor. 


e Computer Configuration. Permite establecer directivas 
que serán aplicadas a todas las computadoras dentro del 
ámbito de la Política de Grupo, sin importar quién inicie 
sesión. 

e User Configuration. Permite establecer directivas que 
serán aplicadas a todos los usuarios dentro del ámbito de 
la política de grupo, sin importar en qué computadora 
inicien sesión. 
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Políticas de Grupo: Herencia SEK RENT 


• La definición de políticas de grupo es almacenada en ип 
Objeto de Políticas de Grupo (СРО). 


e Por naturaleza las políticas de grupo son heredadas 
jerárquicamente 
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Políticas de Grupo: Posibilidades SEK RENT 


¿Qué se puede controlar con las políticas de grupo? 


— Plantillas Administrativas: 


e Establecer parámetros de registro para controlar Іа 
apariencia del escritorio y el comportamiento del SO y 
aplicaciones. 


— Security Settings: 


e Establecer parámetros de seguridad aplicables a 
computadoras y usuarios dentro del ámbito del GPO. 


— Instalación de Software: 
e Administrar de forma centralizada el software de la 
organización. 
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Políticas de Grupo: Posibilidades sele ¿REM 


— Scripts: 
e Aplicar scripts para automatizar el inicio y apagado del 
equipo, así como el inicio y término de sesión de un usuario 
— Servicios de Instalación Remota (RIS) 


• Instalar Windows a través de la red con mínima intervención 
del usuario 


— Mantenimiento de Internet Explorer: 
e Administrar y personalizar el Internet Explorer en 
computadoras con Windows 2000 
Redirección de Carpetas: 
• Redirigir las carpetas especiales del perfil del usuario (My 
Documents, Application Data, Desktop, Start Menu) a un 
lugar específico dentro de la red. 
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Políticas de Grupo: Procesamiento sele гет 


e Las СРО son acumulativas, y siguen el siguiente orden de 
procesamiento 


1. Política de Grupo Local (la que existe en cada cliente) 
2. Política de Grupo de Sitio 

3. Política de Grupo de Dominio 

4. Política de Grupo de UO 

5. Política de Grupo de UO hija 


e El orden de procesamiento es crítico: Si dos políticas 
establecen un comportamiento distinto para un mismo 
parámetro, prevalecerá el definido por la última política 
procesada. 
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Políticas de Grupo: Procesamiento sele ¿REM 


e La aplicación de políticas se puede modificar a través de dos 
métodos: 


— Block Inheritance. Bloquear la aplicación de GPOs 
establecidas en contenedores padres. Sólo los 
parámetros de la GPO actual serán aplicados. 


— No override. Garantizar que ninguna política procesada 
posteriormente podrá remplazar los parámetros de la 
actual. 


— “No override” tiene precedencia sobre “Block 
Inheritance” 
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Políticas de Grupo: Procesamiento SEK EIT 





Dominio 





Streetmarket.c om 


Sitio. 


Cuentas _ 


Recursos — ҮТ 


Оов == pri 


Headquarters Marketing Desktops l Servers 
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Plantillas de Seguridad sele. REIT 


e Un archivo de configuración (.inf) que consolidad parámetros 
de la sección Security Settings, que son aplicables a las 
políticas de grupo, permitiendo la estandarización de la 
seguridad a través de un dominio. 


— Areas configurables: 
• Account policies 
e Local policies 
• Event log 
e Restricted groups 
e System services 
• Registry 
e File system 
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Plantillas de Seguridad: NSA sele. REIT 


e La National Security Agency (NSA) provee un conjunto de 
plantillas que cumplen con sus Windows 2000 Security 
Recommendation Guides. 


— W2KDC.inf 


e Aplicable a Windows 2000 Server / Advanced Server 
configurado como controlador de dominio. 


— W2_Server.inf 


e Aplicable a Windows 2000 Server / Avanced Server 
configurado como miembro del dominio. 


— W2K_Workstation.inf 

e Aplicable a estaciones de trabajo Windows 2000 proffesional 
— W2K_Domain_Policy.inf 

e Aplicable a nivel de dominio, a través de una СРО 
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CIS Security Benchmarks sele. ¿Rem 


e Center for Internet Security (CIS) 


e Basados en las mejores prácticas de la NSA, Sans Institute, 
Departamento de Defensa 


— Nivel 1 


e Mejorar el nivel de seguridad de un sistema operativo “out 
of the box”. 


• Representa el nivel mínimo de seguridad recomendado para 
un sistema operativo 


— Nivel 2 
e Medidas de seguridad más detalladas y especializadas 


Diplomado en Seguridad Informática | Seguridad en Servidores | © 2003 SekurelT, S.A. de C.V. 09.2003 | Página 1 


Seguridad en Windows 2000 SEKT гет 


e National Security Agency's (www.nsa.gov) 
— Windows 2000 Security Recommendation Guides 


e Center for Internet Security (www.cisecurity.org) 
– CIS Benchmarks and Security Tools 


Diplomado en Seguridad Informática | Seguridad en Servidores | © 2003 SekurelT, S.A. de C.V. 09.2003 | Página 1 


Seguridad en Windows 2000 SEKT REIT 


Recursos 


e Step-by-step guide to understanding the Group Policy 
Feature Set 


www.microsoft.com/windows2000/techinfo/ planning/ 
management/groupsteps.asp 


e Windows 2000 Server Baseline Security Checklist 


www.microsoft.com/technet/security/ tools/chklist/w2ksvrcl.asp 


e Improve Windows Servers Security 
www.microsoft.com/technet/security/tools/chklist/wsrvsec.asp 


• IIS Baseline Security Checklist 


www.microsoft.com/technet/security/ tools/chklist/iis50cl.asp 
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Domain Name System (DNS) sele. ¿RENT 


Recomendaciones 


e Usar Active Directory Integrated Zones 
— Establecer quién puede actualizar un DNS 


— Establecer ACLs para controlar qué usuarios pueden 
hacer cambios en los registros de zona y de recursos. 


e Crear un grupo especial para administradores 
de DNSs 


e Asignar el grupo de administradores de DNS a 
una UO y aplicar una política de grupo 
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++ 
SEK REIT 


CONSULTORES ЕМҸ SEGURIDAD INFORMATICA 
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Principales fallas de seguridad SEN тет 


SANS/FBI Тор 20 list 


e Remote procedure calls 
Buffer overflows en procedimientos ejecutados con privilegios de root 


e Servidor web Apache 
Scripts ССІ 


e Secure Shell (SSH) 
Vulnerabilidades de SSH y OpenSSL 
Versión trojanizada 


e Simple Network Management Protocol (SNMP) 
Comunidades default: public y private 
Carencia de cifrado 
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Principales fallas de seguridad SEN гет 


• Sendmail 
Buffer overflows 
Open relay 


BIND, DNS 


Buffer overflows 
Denegación de servicio 
Cache poisoining 


• FTP, r-services 


e Line Printer Daemon (LPD) 


• Cuentas con contraseñas débiles / sin contraseña 
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Contraseñas / Archivo shadow сєк; TRET 


• /etc/passwd 
acount-name:password:UID:GID:Description:Directory:Program 


e /etc/shadow 
acount-name:password:Lastchg:Min:Max:Warning:Inactive:Expire:Flag 


Lastchg = Número de días desde 01/01/1970 a la fecha en que la 
contraseña fue modificada por última vez. 


Min = Mínimo número de días requerido para permitir cambio de 
contraseña 


Max = Máximo número de días que la contraseña es válida 

Warning = Número de días previos a la expiración de la contraseña 
Inactive = Número de días de inactividad permitidos 

Expire = Fecha absoluta en que no será permitido hacer login en el futuro 
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Pluggable Authentication Modules (PAM) SEKI REIT 


e Una suite de librerías que permiten al administrador del 
sistema indicar cómo las aplicaciones autenticarán a los 
usuarios 


• Los módulos PAM pueden como pilas (stacks) de cuatro 
tipos de módulos diferentes a ser procesados 


— Authentication Management 
— Account Management 

— Session Management 

— Password Management 
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Pluggable Authentication Modules (PAM) SEIS REIT 









APLICATION: X PAM CONFIG FILE 


X auth | a.so 
X auth .. b.so 





+ 
[CONVERSATION] 








SERVICE USER 


sepe A 


SESSION 
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Módulos comunes SEK Рт 


e Pam_deny.so 


— Usado para denegar acceso. Indica a la aplicación la ocurrencia de 
una falla. 


e Pam_permit.so 
— Usado para permitir el acceso, indicando el éxito del módulo. 


e Pam_unix.so 


— Modulo de autenticación de UNIX. Hace llamadas estándar al 
sistema para realizar la autenticación 


e Pam_securetty.so 


— Si es root quien está siendo autenticado, verifica que la terminal 
desde la que se conecta exista en /etc/securetty. 


Pam_rootok.so 
— Este módulo autentica exitosamente al usuario si su UID es cero 
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Módulos comunes SEK EIT 


e Pam_nologin.so 


— Valida la existencia del archivo /etc/nologin. Si dicho archivo existe, 
sólo root está autorizado para establecer una conexión 


e Pam_wheel.so 
— Sólo permite acceso como root a los miembros del grupo wheel. 


e Pam_env.so 
— Establece las variables de entorno definidas en 
/etc/security/pam_env.conf 
e Pam_stack.so 


— Este módulo invoca recursivamente la pila definida en otro archivo 
de configuración. Si la pila invocada es ejecutada 
satisfactoriamente, pam_stack.so indica el éxito del módulo 
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TCP Wrappers sel! ¿Rem 


Control de acceso a servicios de red por nombre de host y 
dirección IP 


e El concepto de operación es la inclusión de un 
intermediario entre el servicio y el cliente, el cual verifica 
reglas de control de acceso para permitir o rechazar el 
establecimiento de la conexión 
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TCP Wrappers SEK ZEIT 
SOLICITUD SOLICITUD 
RECHAZADA RECHAZADA 






SOLICITUD 
DE CONEXION 
ENTRANTE SOLICITUD 


ACEPTADA 


JE 


hosts.allow hosts.deny 
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XINETD 


SERVICE 





SOLICITUD 
ACEPTADA 


TCP 
WRAPPED 


NETWORK 
SERVICE 
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TCP Wrappers sele! ¿Rem 


• El control de acceso se realiza a través de dos archivos de 
configuración /etc/hosts.allow y /etc/hosts.deny. 


1. Se verifican secuencialmente las reglas del archivo 
hosts.allow. Si se encuentra una coincidencia, se permite 
la conexión, y TCP Wrappers cede el control al servicio. 


2. En caso contrario, se verifican secuencialmente las 
reglas del archivo hosts.deny. Si se encuentra una 
coincidencia la conexión es rechazada. 


3. Si no existe una coincidencia en cualquiera de los dos 
archivos, la conexión es permitida. 
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TCP Wrappers sele! ¿Rem 


e Formato de archivos de configuración: 
<daemon_list> : <client_list> [ : <option> [ : <option>]] 


Ejemplos: 

ALL : *. mydomain.com 

ALL : 192.168. 

in.telnetd : /etc/telnetd.hosts 

sshd : LOCAL 

ALL : 192.168.0. EXCEPT 192.168.0.25 

sshd : .prohibido.com : twist /bin/echo 421 Error %а 

ALL EXCEPT in.ftpd : host.mydomain.com : severity emerg 
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Xmetd seki f REIT 


CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Un súper-servicio que controla el acceso a un conjunto de 
servicios de red, tales como FTP, POP y TELNET 


• Además de las reglas de TCP Wrappers, xinetd tiene sus 
propias reglas de acceso: 


— only-from: Permite el uso del servicio, sólo a los hosts 
especificados 


— no-access: Bloquea el acceso al servicio a los hosts 
especificados 


— access-times: Especifica el rango de tiempo en que un 
servicio en particular puede ser utilizado 
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ФФ 


Xinetd Sel f REIT 


CONSULTORES ЕМ SEGURIDAD INFORMATICA 


e Ejemplos: 


only-from = 10.1.1.0/24 
only-from = administración.sekureit.com 


no-access = 200.77.33.22 


access-times = 09:28-23:15 
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CONSULTORES EN W SEGURIDAD INFORMATICA 


Xinetd Sel J REIT 
e Adicionalmente, xinetd posee opciones de administración 
de recursos: 


— per-source: Define el número máximo de instancias de 
un servicio con una IP específica 


— cps: Define el número máximo de conexiones 
permitidas a un servicio por segundo 


– max-load: Define el límite máximo de uso de CPU 
para un servicio específico 
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Permisos en Archivos y Directorios еі: {єт 


Permisos por omisión еп la creación de 
— Archivos: rw-rw-rw (666) 
— Directorios: rwxrwxrwx (777) 


umask 
e Muestra o establece los modos de acceso que el sistema 


debe deshabilitar por omisión al crear un nuevo objeto. 


e Por ejemplo, al crear un nuevo archivo con 


umask 002 --- --- -W- umask 022 --- -w- -w- 
Complemento а 1 de 002 rwx rwx r-x rWwX Г-Х T-X 
апа апа 
FW- FW- rW- 


Permisos por omisión 666 rw- rw- rw- 
Permisos resultantes: rw- rw- r-- (664) rW- r-- r-- (644) 
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Bit Set UID (SUID) SEN гет 


• El bit número 12 en la representación de permisos de 
archivos y directorios (izquierda a derecha) 


e Si el bit SUID está encendido para un archivo ejecutable, 
cualquier proceso que ejecute el archivo tendrá los 
permisos asociados al propietario del archivo, en lugar de 
los asociados al usuario que creo el proceso. 


• Establecer el bit SUID: chmod и+ѕ filename 
e Por ejemplo: 


rws r-x r-x (4755) 
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Bit Set GID (SGID) SEN гет 


Diplomado en Segu 


El bit número 11 en la representación de permisos de 
archivos y directorios (izquierda a derecha) 


Si el bit SGID está encendido para un archivo ejecutable, 
el GID del proceso es cambiado por el GID del propietario 
del archivo. El acceso a los recursos estará condicionado 
por los permisos asociados al grupo propietario en lugar 
de los asociados a los del grupo del usuario que creo el 
proceso. 


Establecer el bit SGID: chmod g+s filename 
Por ejemplo: 


РИХ 1-5 r-x (2755) 
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Uso del Sticky Bit sele ¿Rem 


El bit número 10 en la representación de permisos de 
archivos y directorios (izquierda a derecha) 


Util en la protección de directorios compartidos 


e Una vez aplicado a un directorio, un archivo contenido en 
dicho directorio sólo podrá ser eliminado por 


— root 
— El propietario del archivo 
— El propietario del directorio 


Establecer el sticky bit para un directorio: 
chmod +t dirname 
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ACLs y atributos extendidos sele. ¿Rem 


e Los atributos extendidos son pares nombre, valor 
arbitrarios que están asociados a archivos y directorios 


e Pueden ser utilizados para almacenar objetos de sistema, 
tales como listas de control de acceso (ACLs). 


Una ACL permite una definición de permisos más fina, de 
modo que es posible otorgar permisos sobre los archivos 
y directorios a usuarios o grupos específicos 
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ACLs y atributos extendidos sele. REIT 


e Mostrar los permisos para un archivo o directorio 
getfacl filename 


Otorgar permisos de lectura y ejecución a un grupo 
específico sobre un archivo o directorio 


setfacl -m g:groupname:rx filename 


Otorgar permisos de lectura y escritura a un usuario 
específico sobre un archivo o directorio 


setfacl -m u:username:rw filename 
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CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Syslog seta! f [REIT 


• El sistema general de registro de mensajes de los 
sistemas UNIX 


e Escucha por mensajes escritos dos puntos: 


— /dev/log Mensajes generados por los procesos del sistema 


— 514/UDP Mensajes procedentes de otros sistemas en la red 


e Otro demonio klog, escucha mensajes del kernel y los 
pasa a syslog como lo haría un proceso más. 


— /dev/klog Mensajes generados por el kernel 
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Syslog Facilities sele. ¿Rem 


e Hacen referencia a las áreas que originan los mensajes 


e auth 

• authpriv 
e cron 

• daemon 
e kern 

• [рг 

e Mail 


Relativos al sistema de autenticación (login, su) 
Mensajes auth, que incluyen información sensible 
Relativos al demonio cron 

Otros demonios del sistema, tales como sshd, xinetd 
Mensajes generados por el kernel 

Relativos al line printer subsystem (Іра, Іраѕсһеа) 
Mensajes generados por el susbsistema de correo 
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Syslog Levels sele. ¿Rem 


• Indican el nivel de seguridad de un mensaje 


O етед ЕІ sistema es inutilizable 

1 alert Debe tomarse una acción inmediata 

2 crit Condiciones críticas 

3 err Condiciones de error 

4 warn Condiciones de alerta 

5 notice Condiciones normales, pero significativas 
6 info Mensaje informativo 

7 debug Mensajes de nivel de depuración 
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Configuración de Syslog sele. ¿RENT 


Los mensajes recabados por syslog pueden ser: 


e Agregados а un archivo determinado 
e Enviados a un servidor syslog remoto 


e Entregados en la terminal de una lista de usuarios que 
estén conectados 


e Entregados en la terminal de todos los usuarios 
conectados 


e Enviados a alguna terminal en particular 


e Entregados a otros progrmas para su procesamiento a 
través de un pipe 
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SEK ЭЕТ 


CONSULTORES ЕМ SEGURIDAD INFORMATICA 


Gracias por su atención 





SEK 


CONSULTORES ENW SEGURIDAD INFORMATICA 


http://www.sekureit.com 
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